Рейтинг:0

Что такое безопасная, современная, частично гомоморфная схема шифрования?

флаг co

я читал Эта бумага Филиппом Голлем об использовании гомоморфных свойств шифрования Эль-Гамаля для игры в ментальный покер (то есть криптографически безопасный покер без доверенного стороннего дилера). Я решил, что было бы неплохо попытаться реализовать какую-то базовую версию, но быстро столкнулся с некоторыми проблемами.

Похоже, что ElGamal (и, если на то пошло, RSA) в целом считаются небезопасными, и, по-видимому, преобладает совет избегать их. Таким образом, два больших варианта падения частичного гомоморфизма не учитываются в играх с достаточно высокими ставками. Кроме того, я не смог найти других стандартизированных криптосистем, обладающих этим свойством и работающих с дискретными значениями, а не с аппроксимациями (необходимыми для реализации алгоритма, изложенного в статье). Я упускаю что-то очевидное?

Я предполагаю, что мой вопрос: если бы Голле писал эту статью в 2022 году, что бы он предложил вместо Эль-Гамаля для игр в покер с достаточно высокими ставками?

Рейтинг:3
флаг ng

ElGamal и RSA «считаются в целом небезопасными» ЕСЛИ предполагается Криптографически значимые квантовые компьютеры. Но они остаются весьма гипотетическими. Мир (интернет, банковское дело, мобильная связь...) в настоящее время работает на криптосистемах, которые, будучи асимметричными, теоретически уязвимы для этих гипотетических CRQC: RSA, ECDSA, EdDSA, ECIES…

Криптосистема Пайе заслуживает внимания, если игнорировать гипотезу CRQC. Это просто¹, обеспечивает аддитивное гомоморфное шифрование (возможно, со знаком) целых чисел с небольшим и четким ограничением², имеет эффективность в пределах небольшого постоянного коэффициента дешифрования RSA (таким образом, терпимо во многих приложениях), не имеет патентов, доказуемо сводится к математической задаче широко распространено мнение, что он является суперполиномиальным для классических компьютеров и считается таким же безопасным, как RSA, при том же простом размере.

Основная причина, по которой криптосистема Пайе мало используется на практике, заключается, как мне кажется, в том, что гомоморфное шифрование в целом не пользуется большим спросом.

Дополнение: шифрование Пайе не уязвимо для атаки оракула заполнения или неправильного выбора заполнения, поскольку (в отличие от RSA) оно не требует заполнения. Он уязвим для атак на реализацию примерно так же, как и RSA, включая использование некачественных генераторов случайных чисел при генерации или использовании ключа, побочных каналов и атак с ошибкой. Сходство с RSA — хорошая новость, поскольку для RSA известны эффективные меры противодействия атакам, которые в значительной степени могут быть адаптированы к Пайе.


¹ Особенно с общим ограничением $n$ произведение двух простых чисел одинакового размера, и $г=n+1$.

² Открытый текст, превышающий $n$ уменьшается по модулю $n$, с $n$ общедоступные параметры достаточно велики, и это не проблема для чего-либо, что можно сосчитать, включая любую значимую часть валюты, даже атомы. Контрастом будет аддитивно гомоморфный вариант Эль-Гамаля, который имеет строгие ограничения на целые числа, которые он может складывать.

user3450456 avatar
флаг co
Спасибо, я посмотрю на Пайе, так как я не особо беспокоюсь о квантовой безопасности. То, что ElGamal и RSA могут считаться небезопасными, связано не с опасениями по поводу квантовой безопасности, а с заботой о первичном поколении, атаках по побочным каналам и, в частности, атаках через заполняющие оракулы. не заполнять открытый текст перед шифрованием.
Mark avatar
флаг ng
@user3450456 user3450456, если вас беспокоят различные побочные каналы, это (относительное) преимущество схем на основе решетки. Имеются относительно сильные результаты устойчивости к утечкам, связанные с утечкой битов секретного ключа (по сравнению с вещами типа RSA, где метод Копперсмита является довольно мощным). Более того, большая часть (секретной) генерации случайности довольно проста. единственным исключением является «ошибка LWE $e$», хотя для шифрования даже это можно сделать простым способом, выбрав ее из «центрированного биномиального распределения».
Mark avatar
флаг ng
существуют *не* атаки типа padding oracle (по крайней мере, о которых я знаю) против решетчатых схем, хотя есть и другие атаки типа IND-CCA, так что, возможно, здесь это промывка.
Рейтинг:3
флаг ng

Следует упомянуть две очевидные вещи. Во-первых, с оговоркой, что я лишь кратко просмотрел документ, на который вы ссылаетесь, я вижу, что в разделе 3 говорится, что используемая схема шифрования требует 3 свойства, а именно

  1. аддитивный гомоморфизм,

  2. "модульное сравнение открытого текста", например. проверка если $Enc(с)$ является шифрованием 0,

  3. протокол распределенной генерации ключей.

было бы легче ответить на этот вопрос, если бы вы могли точно формализовать, какие операции/свойства вам нужны.

на основе решетки

При всем при этом наиболее распространенным типом частично гомоморфной схемы шифрования в настоящее время являются варианты шифрования R (LWE). Однако это удовлетворяет «зашумленному» варианту аддитивного гомоморфизма, а это означает, что можно оценить только некоторые априори ограниченный число аддитивных гомоморфизмов. Если нужны произвольные дополнения, то и это можно сделать, например схемы FHEW/TFHE для этого, пожалуй, хорошо подходят (обратите внимание, что это полностью гомоморфный схемы шифрования, хотя они особенно эффективны). Это правдоподобно/вероятно, в вашем случае это нормально.

Для двух других пунктов мне нужно было бы более внимательно прочитать/знать точные требования схемы. Мне кажется правдоподобным, что схемы шифрования на основе RLWE могли бы работать в вашей ситуации, но я не пытаюсь заполнять подробности, потому что...

Эль-Гамаль на базе:

Хотя вы правы в том, что «классический» Эль-Гамаль (скажем, основанный на Диффи Хеллмане с конечным полем) несколько устарел, вы может использовать Эль-Гамаля на основе групп эллиптических кривых. Это «современно» (хотя все еще слабо против квантовых компьютеров, если это вас беспокоит) и, вероятно, проще для ваших целей, чем разработка деталей того, как использовать схему на основе решетки. Обратите внимание, что для общее шифрование нет особых причин использовать варианты эллиптической кривой Эль-Гамаля (подробности см. здесь), но поскольку вы специально хотите использовать аддитивный гомоморфизм, использование Эль-Гамаля имеет смысл.

Если вы по какой-то причине против использования эллиптической кривой Эль-Гамаля, вам остается только использовать схемы на основе решетки. Это потребует дополнительной работы, чтобы выяснить детали, и людям на этом веб-сайте будет легче помочь вам, если вы сможете точно сказать, какие у вас требования к базовой схеме шифрования.

fgrieu avatar
флаг ng
Не все приложения аддитивного изоморфизма возможны с Эль-Гамалем. Если мы хотим иметь дело с целыми числами до $m$, стоимость расшифровки возрастает как $\sqrt m$, и это часто является ограничением. Я думаю, что у RLWE тоже есть некоторые ограничения, но я точно не знаю, какие они.
user3450456 avatar
флаг co
Спасибо за ваш ответ. Я думаю, что схемы на основе решетки, возможно, слишком сложны для того, чего я пытаюсь достичь, но я также рассмотрю их. Можете ли вы предоставить небольшой контекст относительно того, почему выполнение Эль-Гамаля на эллиптических группах лучше, чем выполнение его на Диффи-Хеллмане с конечным полем? Я понимаю, что не был особенно точен в своем вопросе, но это потому, что я очень новичок в криптографии.
Mark avatar
флаг ng
@fgrieu для RLWE нужно выбирать более крупные параметры, чтобы включить больше дополнений, поэтому затраты на дешифрование (вроде) увеличиваются неявно за счет больших параметров, но рост должен быть логарифмическим. Все это можно игнорировать, используя TFHE/FHEW, то есть FHE, который «загружается после каждой операции». Несмотря на то, что он является FHE, он относительно производительен, например, ~0,1 с/операция несколько лет назад (и, вероятно, лучше сейчас). Это плохо по сравнению с процессорами ~ 3 ГГц, и у меня сложилось впечатление, что для OP требуется ~ 60 операций, так что, возможно, это может быть разумно.
Mark avatar
флаг ng
@user3450456 user3450456 Атаки против Диффи-Хеллмана с конечным полем сильнее, поэтому для аналогичных уровней безопасности необходимо выбирать более высокие параметры. В зависимости от конкретных взаимосвязей между параметрами они могут быть гигантскими (характеристика 2 Диффи Хеллмана полностью нарушена --- академики решили ~30-килобитный DLOG) или просто намного больше (~850-битные DLOG находятся в пределах досягаемости ученых). По этой причине «современная» реализация Диффи-Хеллмана с конечным полем, вероятно, должна использовать размер битов от 2k до 4k для параметров. Это по сравнению с групповыми протоколами Elliptic-Curve, которые находятся в ...
Mark avatar
флаг ng
диапазон в несколько сотен бит.Конечно, размер в битах не полностью определяет сложность, но это все еще довольно важный параметр, и при работе с конечными полями все должно быть примерно на порядок больше. Это также игнорирует то, что в настоящее время считается, что из двух вариантов атаки на конечные поля с большей вероятностью улучшатся --- для улучшения групповых атак на эллиптических кривых потребуется показать, что они "необщие" --- в то время как дискретные логарифмы конечных полей могут быть правдоподобно *значительно* улучшено за счет адаптации ~2012 работы над решетом функционального поля к конечным полям (думаю, но не знаю подробностей)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.